Prévention : Le phishing en entreprise, ou l’erreur érigée en art
Dans ces tests, j’ai utilisé plusieurs fois les véritables domaines de messagerie de grandes organisations, et en l’absence de mesures de prévention des imitations, les messages ont été remis à leurs destinataires.Il n’en faut souvent pas plus pour convaincre les utilisateurs de cliquer sur les liens que j’ai créés, ce qui aboutit inévitablement à une compromission.
Nous sommes en 2020 et nous mordons encore à l’hameçon. Pourquoi n’apprenons-nous pas de nos erreurs ?
Pour répondre à cette question, j’ai été amené à examiner de vrais messages en provenance de sources légitimes et établies, par exemple des sociétés de réseaux sociaux, des éditeurs de solutions de paiement et des banques. J’ai ainsi découvert une tendance inquiétante. Face au risque qu’un tiers bloque leur domaine de messagerie principal dans le cadre de la lutte contre les courriers indésirables, certaines entreprises utilisent un autre domaine pour l’envoi d’emails en nombre. Dans ce cas, l’usage est de publier cet autre domaine sur le site web de la société où les utilisateurs pourront vérifier l’émetteur et l’authenticité de l’email.
Sur les 10 entreprises récemment étudiées, la moitié n’avait pas implémenté correctement de stratégie de prévention de phishing ou de gestion des identités de messagerie. Deux omettaient de mentionner le domaine d’expédition du message reçu. Deux autres encore affichaient une page d’erreur 404 sans aucune possibilité de valider le domaine. Enfin, dans la déclaration SPF de son enregistrement DNS, une société dépourvue de tous ces éléments autorisait toutes les adresses IPv4 du monde entier à envoyer des emails depuis son domaine.
La plupart des manquements touchaient des organismes financiers. Dans un des cas, j’ai mis un quart d’heure à confirmer l’authenticité de l’email reçu. J’ai notamment dû déterminer le détenteur de l’adresse IP utilisée au début de l’acheminement, une agence affiliée mandatée pour l’envoi d’emails en toute légitimité. Comment un utilisateur lambda peut-il savoir si un email est licite ?
Nous voyons ici la preuve de l’échec de tout le secteur à s’emparer de ce problème, techniquement mais aussi du point de vue stratégique et managérial. Il n’existe aucune réponse unique et infaillible côté client. Beaucoup de logiciels antivirus s’y sont essayés et il y a eu quelques tentatives intéressantes de réduction des emails de phishing évident, mais, au final, tout repose sur les utilisateurs et leur sensibilisation, avec les conséquences que l’on connaît.
Voici quelques questions à poser à l’équipe IT chargée des messageries :
- Avons-nous un SPF pour TOUS nos domaines ? Est-il correct ?
- Est-ce que nous mandatons des tiers au sein du groupe pour envoyer des messages en notre nom ? Ont-ils un SPF ?
- Avons-nous mis en œuvre DKIM sur TOUS les domaines d’expédition de nos emails ?
- Avons-nous mis en œuvre DMARC sur TOUS les domaines d’expédition de nos emails ?
- Avons-nous une stratégie de sécurité de la messagerie électronique ? Est-elle appliquée ?
- Fournissons-nous à notre base d’utilisateurs externes un moyen de vérifier qu’un email est authentique ? Quel en est le fonctionnement ?
Si vous avez répondu par la négative à l’une de ces questions, c’est que vous contribuez au problème. Heureusement, la solution est à portée de main. De nombreux guides, publications et ressources vous aideront à nourrir votre réflexion et à mettre en œuvre les normes SPF, DKIM et DMARC. Tant que ces contrôles ne seront pas généralisés, le phishing subsistera et nous assisterons probablement à des attaques et à leurs conséquences toujours plus sophistiquées, plus nombreuses et plus violentes.
Références utiles :